มัลแวร์ธนาคารที่เพิ่งค้นพบใช้วิธีใหม่ในการบันทึกข้อมูลรับรองการเข้าสู่ระบบบนอุปกรณ์ Android
ThreatFabric บริษัทรักษาความปลอดภัยในอัมสเตอร์ดัม ค้นพบมัลแวร์ตัวใหม่ครั้งแรกที่เรียกว่า Vultur ในเดือนมีนาคม จากข้อมูลของ ArsTechnica นั้น Vultur ได้ละทิ้งวิธีมาตรฐานในการเก็บข้อมูลประจำตัวก่อนหน้านี้ และใช้คอมพิวเตอร์เครือข่ายเสมือน (VNC) แทนด้วยความสามารถในการเข้าถึงระยะไกลเพื่อบันทึกหน้าจอเมื่อผู้ใช้ป้อนรายละเอียดการเข้าสู่ระบบในแอปพลิเคชันเฉพาะ
ในขณะที่มัลแวร์ถูกค้นพบครั้งแรกในเดือนมีนาคม นักวิจัยจาก ThreatFabric เชื่อว่าพวกเขาเชื่อมต่อกับ Brunhilda dropper ซึ่งเป็นมัลแวร์ Dropper ที่เคยใช้ในแอป Google Play หลายตัวเพื่อแจกจ่ายมัลแวร์ธนาคารอื่นๆ
ThreatFabric ยังบอกด้วยว่าวิธีที่ Vultur เข้าใกล้ในการรวบรวมข้อมูลนั้นแตกต่างจากโทรจัน Android ที่ผ่านมา ไม่วางหน้าต่างทับแอปพลิเคชันเพื่อรวบรวมข้อมูลที่คุณป้อนลงในแอป แต่กลับใช้ VNC เพื่อบันทึกหน้าจอและถ่ายทอดข้อมูลนั้นกลับไปยังผู้ไม่หวังดีที่ทำงานอยู่
ตาม ThreatFabric Vultur ทำงานโดยอาศัยบริการการเข้าถึงข้อมูลที่พบในอุปกรณ์ Android เป็นอย่างมาก เมื่อมัลแวร์เริ่มทำงาน มันจะซ่อนไอคอนแอปแล้ว "ใช้บริการในทางที่ผิดเพื่อรับสิทธิ์ที่จำเป็นทั้งหมดเพื่อให้ทำงานได้อย่างถูกต้อง" ThreatFabric กล่าวว่าวิธีนี้คล้ายกับวิธีที่ใช้ในมัลแวร์ตัวก่อนที่เรียกว่า Alien ซึ่งเชื่อว่าสามารถเชื่อมต่อกับ Vultur ได้
ภัยคุกคามที่ใหญ่ที่สุดของ Vultur คือการบันทึกหน้าจอของอุปกรณ์ Android ที่ติดตั้งไว้ การใช้บริการการเข้าถึงช่วยติดตามว่าแอปพลิเคชันใดกำลังทำงานอยู่เบื้องหน้า หากแอปพลิเคชันนั้นอยู่ในรายการเป้าหมายของ Vultur โทรจันจะเริ่มบันทึกและจะดักจับทุกอย่างที่พิมพ์หรือป้อน
นอกจากนี้ นักวิจัยของ ThreatFabric ยังกล่าวอีกว่าอีแร้งรบกวนวิธีการติดตั้งแอปแบบเดิมๆ ผู้ที่พยายามถอนการติดตั้งแอปพลิเคชันด้วยตนเองอาจพบว่าบอทคลิกปุ่มย้อนกลับโดยอัตโนมัติเมื่อผู้ใช้มาถึงหน้าจอรายละเอียดแอป ซึ่งจะล็อกพวกเขาไม่ให้ไปถึงปุ่มถอนการติดตั้งอย่างมีประสิทธิภาพ
ArsTechnica สังเกตว่า Google ได้ลบแอพ Play Store ทั้งหมดที่ทราบว่ามี Brunhilda dropper แต่เป็นไปได้ที่แอพใหม่อาจปรากฏขึ้นในอนาคต ดังนั้น ผู้ใช้ควรติดตั้งแอปที่เชื่อถือได้บนอุปกรณ์ Android ของตนเท่านั้น ในขณะที่ Vultur มุ่งเป้าไปที่แอปพลิเคชันธนาคารเป็นหลัก แต่ก็เป็นที่ทราบกันดีว่าบันทึกอินพุตที่สำคัญสำหรับแอปพลิเคชันเช่น Facebook, WhatsApp และแอปโซเชียลมีเดียอื่นๆ
